NAT网络地址转换

1、网络地址转换网络地址转换网络地址转换网络地址转换网络地址转换网络地址转换(nat)(nat)(nat)本章目标本章目标v了解地址转换（了解地址转换（nat）的作用和工作原理）的作用和工作原理v了解各种了解各种nat术语术语v理解理解nat的各种应用：的各种应用：转换内部转换内部lan地址、复地址、复用内部地址、负载均衡用内部地址、负载均衡和处理地址交叉和处理地址交叉v掌握掌握nat的配置和排错的配置和排错本章结构本章结构网络地址转换网络地址转换nat/patnat的优势缺点的优势缺点nat的概念的概念nat的术语的术语nat概念和术语概念和术语nat的配置的配置nat的应用的应用nat的检查与

2、排的检查与排错错静态静态nat的配置的配置动态动态nat的配置的配置pat的配置的配置tcp负载均衡配置负载均衡配置用用nat解决地址交叉的问题解决地址交叉的问题网络地址转换概述网络地址转换概述v地址转换的提出背景地址转换的提出背景 合法的合法的ip地址资源日益短缺地址资源日益短缺 一个局域网内部有很多台主机，但不是每台主机都有合一个局域网内部有很多台主机，但不是每台主机都有合法的法的ip地址，为了使所有内部主机都可以连接因特网，地址，为了使所有内部主机都可以连接因特网，需要使用地址转换需要使用地址转换 地址转换技术可以有效地隐藏内部局域网中的主机，具地址转换技术可以有效地隐藏内部局域网中的主

3、机，具有一定的网络安全保护作用有一定的网络安全保护作用 地址转换可以在局域网内部提供给外部地址转换可以在局域网内部提供给外部ftp、www、telnet服务服务vnat的原理的原理 改变改变ip包头，使目的地址、源地址或两个地址在包包头，使目的地址、源地址或两个地址在包头中被不同地址替换头中被不同地址替换网络地址转换概述网络地址转换概述局域网局域网pc2pc1internet网络地址转换概述网络地址转换概述ip:port:3010ip:port:3000ip 数据包数据包ip:port:3000ip:port:30

4、10网络地址转换概述网络地址转换概述vnat的的3种实现方式种实现方式 静态转换静态转换 动态转换动态转换 端口多路复用端口多路复用 v使用双向使用双向nat可以处理地址交叉的情况可以处理地址交叉的情况v使用两个方向上的动态使用两个方向上的动态natv会用到会用到4种类型的地址种类型的地址nat的术语的术语公司合并，公司合并，可能导致地可能导致地址交叉址交叉nat的术语的术语外部主机外部主机b外部主机外部主机cinternetnat主机主机a1234sa=da1内部局部地址内部局部地址外部局部地址外部局部地址主机

5、主机a发出的包发出的包sa=da=经过路由器转换的包经过路由器转换的包2内部全局地址内部全局地址外部全局地址外部全局地址经过路由器转换的包经过路由器转换的包sa=da=4外部局部地址外部局部地址内部局部地址内部局部地址sa=da=外部主机外部主机b返回的包返回的包3外部全局地址外部全局地址内部全局地址内部全局地址nat的优缺点的优缺点vnat的优点的优点 节省公有合法节省公有合法ip地址地址 处理地址交叉处理地址交叉 增强灵活性增强灵活性 安全性安全性vnat的缺点的缺点 延迟增大延迟增大 配

6、置和维护的复杂性配置和维护的复杂性 不支持某些应用不支持某些应用支持的业务类型和支持的业务类型和应用应用支持在数据流中有支持在数据流中有ip地址的业务类型地址的业务类型不支持的不支持的业务类型业务类型任何应用数据流中不承载任何应用数据流中不承载源源/目的目的ip地址的地址的tcp/udp业务业务icmp路由表更新路由表更新httpftp（包括（包括port和和 pasv)dns区域传送区域传送tftptcp/ip上的上的netbios（数据报、（数据报、名称和会话服务名称和会话服务bootptelnetdns（a和和ptr查询）查询）talk，ntalkntph.323/netmeetings

7、nmpnfsip多播（只转换源地址）多播（只转换源地址）netshownat支持的数据流支持的数据流sadasada nat转换表转换表协议协议 内部用局部内部用局部ip地址地址内部用全局内部用全局ip地址地址外部用全局外部用全局ip地址地址tcp:23外部主机外部主机b外部主机外部主机c转换转换lan内部地址内部地址internet协议协议 内部用局部内部用局部ip地址地址

8、内部用全局内部用全局ip地址地址外部用全局外部用全局ip地址地址tcp:1492:1492:23tcp:1723:1723:23tcp:1024:1024:23复用复用lan的内部地址的内部地址sadasada nat转换表转换表外部主机外部主机b外部主机外部主机cinternet10.1.1

9、.虚拟主机虚拟主机internetsasa27da27da nat转换表转换表外部主机外部主机b外部主机外部主机c27协议协议内部用局部内部用局部ip地地址：端口号址：端口号内部用全局内部用全局ip地址：地址：端口号端口号外部用全局外部用全局ip地址：地址：端口号端口号tcp:8027:80:3058tcp:8027:80172

10、.21.7.3:4371tcp:8027:80:3062tcp负载均衡负载均衡nat配置配置vnat配置步骤配置步骤1、接口、接口ip地址配置地址配置2、使用访问控制列表定义、使用访问控制列表定义哪些哪些内部主机能做内部主机能做nat3、决定采用什么公有地址，静态或地址池、决定采用什么公有地址，静态或地址池4、指定地址转换映射、指定地址转换映射5、在内部和外部端口上启用、在内部和外部端口上启用nat静态静态nat配置配置internetnat外部端口外部端口nat内部端口内部端口内部网络内部网络-192.168.10

11、0.6/24 29 v第一步：第一步： 设置外部端口设置外部端口 v第二步第二步 ：设置内部端口：设置内部端口 v第三步：第三步： 在内部本地和内部合法地址之间建立静态在内部本地和内部合法地址之间建立静态地址转换地址转换 v第四步：在内部和外部端口上启用第四步：在内部和外部端口上启用natrouter(config)#ip nat inside source static 30router(config)#ip nat inside source static 61.1

12、59.62.131router(config)#interface serial 0/0router(config-if)#ip address 29 48router(config)#interface fastethernet 0/0router(config-if)#ip address router(config)#interface serial 0/0router(config-if)#ip nat outsiderouter(config)#interface fastether

13、net 0/0router(config-if)#ip nat inside静态静态nat配置配置静态静态nat配置配置internetsada nat转换转换da30sa30 29 nat转换表转换表协议协议内部用局部内部用局部ip地址地址内部用全局内部用全局ip地址地址外部用全局外部用全局ip地址地址tcp30155.34.

14、2.3tcp31tcp34外部主机外部主机外部主机外部主机internetnat外部端口外部端口nat内部端口内部端口内部网络内部网络-/24 29 动态动态nat配置配置internet动态动态nat配置配置v第一步：第一步： 设置外部端口设置外部端口ip地址地址v第二步：第二步： 设置内部端口设置内部端口ip地址地址v第三步

15、：定义内部网络中允许访问外部的访第三步：定义内部网络中允许访问外部的访问控制列表问控制列表router(config)#interface serial 0/0router(config-if)#ip address 29 92router(config)#interface fastethernet 0/0router(config-if)#ip address router(config)#access-list 1 permit 55动态动态na

16、t配置配置v第四步：定义合法第四步：定义合法ip地址池地址池 v第五步：指定网络地址转换映射第五步：指定网络地址转换映射v第六步：在内部和外部端口上启用第六步：在内部和外部端口上启用nat router(config)#ip nat inside source list 1 pool test0router(config)#ip nat pool test0 30 90 network 92router(config)#interface serial 0/0router(config-if)#ip nat outsider

17、outer(config)#interface fastethernet 0/0router(config-if)#ip nat insideinternetsada nat转换转换da30sa30 外部主机外部主机外部主机外部主机29 协议协议内部用局部内部用局部ip地址地址内部用全局内部用全局ip地址：端口号地址：端口号外部用全局外部

18、用全局ip地址地址tcp30tcp31tcp34nat转换表转换表动态动态nat配置配置internetnat外部端口外部端口nat内部端口内部端口内部网络内部网络-54/24 29 pat配置配置v第一步第一步 ：设置外部端口：设置外部端口ip地址地址v第二步：第二步： 设置内部端口设置内部端口ip地址地址v第三步第三步 ：定

19、义内部网络中允许访问外部的访问控：定义内部网络中允许访问外部的访问控制列表制列表 router(config)#interface serial 0/0router(config-if)#ip address 29 92router(config)#interface fastethernet 0/0router(config-if)#ip address router(config)#access-list 1 permit 55pat配置配置v第三步：定义合法第三步：

20、定义合法ip地址池地址池 v第五步：指定网络地址转换映射第五步：指定网络地址转换映射v第六步：在内部和外部端口上启用第六步：在内部和外部端口上启用nat router(config)#ip nat inside source list 1 pool onlyone overloadrouter(config)#ip nat pool onlyone 30 30 netmask 48router(config)#interface serial 0/0router(config-if)#ip nat outsiderouter

21、(config)#interface fastethernet 0/0router(config-if)#ip nat insidepat配置配置pat配置配置internetsada nat转换转换da30sa30 外部主机外部主机外部主机外部主机29 协议协议内部用局部内部用局部ip地址地址内部用全局内部用全局ip地址：端口号地址：端口号外部用全局外部用全局ip地址地址tcp:102630：102615

22、tcp:1121230：11212tcp54:102730：1027nat转换表转换表54v地址转换过程中，也直接使用接口的地址转换过程中，也直接使用接口的ip地址作为转地址作为转换后的源地址换后的源地址internet局域网局域网 -254/24pc2pc1s0:2 pc1 和和 pc2 可以直接使可以直接使用用 s0接口的接口的ip 地址作为地址作为地址转换后的公用地址转换

23、后的公用ip地址地址pat配置配置internetnat外部端口外部端口nat内部端口内部端口内部网络内部网络-54/24 29 10.1.1 .1 pat配置配置v第一步：第一步： 设置外部端口设置外部端口v第二步第二步 ：设置内部端口：设置内部端口v第三步第三步 ：定义内部网络中允许访问外部的访问控：定义内部网络中允许访问外部的访问控制列表制列表router(config)# interface serial 0/0router(config-if)# ip address29 52rou

24、ter(config)# interface fastethernet 0/0router(config-if)# ip address router(config)# access-list 1 permit 55pat配置配置v第四步：定义合法第四步：定义合法ip地址池地址池 直接使用路由器的接口地址，不用定义地址池直接使用路由器的接口地址，不用定义地址池v第五步：指定网络地址转换映射第五步：指定网络地址转换映射v第六步：第六步： 在内部和外部端口上启用在内部和外部端口上启用nat router(config)#i

25、p nat inside source list 1 interface serial0/0 overloadrouter(config)#interface serial 0/0router(config-if)#ip nat outsiderouter(config)#interface fastethernet 0/0router(config-if)#ip nat insidepat配置配置pat配置配置internetsada nat转换转换da29sa29外部主机外部主机210.3.4.

26、5外部主机外部主机29 协议协议内部用局部内部用局部ip地址地址内部用全局内部用全局ip地址：端口号地址：端口号外部用全局外部用全局ip地地址址tcp:102629:1026tcp:1121229:11212tcp54:102729:1027nat转换表转换表54v第一步：第一步： 设置外部端口设置外部端口v第二步：设置内部端口第二步：设置内

27、部端口v第三步：为虚拟主机定义一个标准的第三步：为虚拟主机定义一个标准的ip访问控访问控制列表制列表router(config)#interface serial0/0router(config-if)#ip address 24router(config)#interface fastethernet0/0router(config-if)#ip address 54 router(config)#access-list 2 permit 27负载均衡配置负载均衡配置负载均衡配置负载均衡

28、配置v第四步：给真实主机定义一个第四步：给真实主机定义一个nat地址集地址集v第五步：设置访问控制列表和第五步：设置访问控制列表和nat地址集之间地址集之间的映射的映射v第六步：在内部和外部端口上启用第六步：在内部和外部端口上启用natrouter(config)#ip nat inside destination list 2 pool real-hostrouter(config)#ip nat pool real-host prefix-length 24 type rotaryrouter(config)#interface serial 0/0ro

29、uter(config-if)#ip nat outsiderouter(config)#interface fastethernet 0/0router(config-if)#ip nat inside负载均衡配置负载均衡配置internetsasa27da27da协议协议内部用局部内部用局部ip地址地址内部用全局内部用全局ip地址：端口号地址：端口号外部用全局外部用全局ip地址地址tcp:8027:80:3085tcp:8027:80172.2

30、1.7.3:4371tcp:8027:80:3062 nat转换表转换表27虚拟主机虚拟主机外部主机外部主机外部主机外部主机nat检查与排错检查与排错v常见问题常见问题 动态地址池中是否有正确的范围的地址动态地址池中是否有正确的范围的地址 动态地址池中是否有重复的地址动态地址池中是否有重复的地址 静态映射的地址与动态地址池中的地址之间是否有重静态映射的地址与动态地址池中的地址之间是否有重复复 访问列表是否指明了要转换的正确地址，是否漏掉一访

31、问列表是否指明了要转换的正确地址，是否漏掉一些地址，是否包括了一些不该包括的地址些地址，是否包括了一些不该包括的地址 是否指明了正确的内部和外部接口是否指明了正确的内部和外部接口 不对称路由问题不对称路由问题nat检查与排错检查与排错v测试联通性验证测试联通性验证nat配置配置v命令命令 show ip nat translations show ip nat statisticsrouter# show ip nat translations pro inside global inside local outside local outside global tcp

32、30 - - tcp 31 - -nat检查与排错检查与排错s表示源地址是表示源地址是d表示目的地址是表示目的地址是-表示将地址表示将地址转换为转换为 routerdebug ip natnat:s=-,d= 0nat:s=, d=- 0nat:s=10.1

33、.1.1-, d= 1vnat的的debug调试调试清除清除nat表的条目表的条目clear ip nat translation *清除清除natnat转换表中的所有条转换表中的所有条目目clear ip nat translation inside local-ip global-ip 清除包含内部转换的简单清除包含内部转换的简单转换条目转换条目clear ip nat translation outside local-ip global-ip 清除包含外部转换的简单清除包含外部转换的简单转换条目转换条目验证和监控验证和监控patv测试网络联通性测试网络联通性v命令命令 show ip nat translations show ip nat statisticsroutershow ip nat translations pro inside global inside loca